基于權(quán)限利用的Android應(yīng)用程序隱私保護(hù)研究.pdf

1、隨著Andorid手機(jī)越來越流行，Android系統(tǒng)的安全問題也越來越受到重視。人們使用Android智能手機(jī)進(jìn)行語音通話、收發(fā)短信、處理各類信息、娛樂以及社交，享受著智能手機(jī)帶來的便捷性，但是同時用戶的個人隱私也面臨著被攻擊泄露的風(fēng)險。當(dāng)下，惡意軟件最多的智能手機(jī)操作系統(tǒng)平臺是Android系統(tǒng)，惡意軟件主要的攻擊目標(biāo)也是竊取用戶的隱私信息。因此，怎樣保障存儲在用戶Android手機(jī)中的隱私信息成為了人們的討論和研究熱點(diǎn)。
　　

2、本文從Android系統(tǒng)中權(quán)限盜用和API濫用的角度出發(fā)，對合法的Android ROM和應(yīng)用程序重新進(jìn)行檢測，排除可能存在的隱私泄露的風(fēng)險。本文的主要工作包括以下兩方面：
　　第一、本文發(fā)現(xiàn)一種潛在的獲取手機(jī)中隱私信息的攻擊方法。該方法針對Android應(yīng)用程序自簽名的機(jī)制，利用AOSP（Android Open Source Project）公開簽名漏洞，獲取預(yù)裝軟件權(quán)限，竊取手機(jī)的隱私信息。針對此漏洞，本文提出了一種快速檢測

3、方法，可以同時逆向多個應(yīng)用程序，并檢查簽名信息，快速檢測漏洞。實(shí)驗(yàn)結(jié)果發(fā)現(xiàn)，在市場上較為流行的Android ROM中，幾款重要的系列均存在AOSP漏洞，如CM、MIUI等。本文提出的方法，檢測一個ROM僅需9~10分鐘，可以快速有效的檢測出ROM是否存在漏洞，并且通過有效的方法，證明漏洞可以被直接利用。
　　第二、將機(jī)器學(xué)習(xí)與Android惡意程序檢測結(jié)合起來，檢測可能存在的應(yīng)用程序中不合法的API調(diào)用。先收集官網(wǎng)上Androi